05 / 2024
Die Fachzeitschrift ORTHOPÄDIE TECHNIK ist die maßgebliche Publikation für das OT-Handwerk und ein wichtiger Kompass für die gesamte Hilfsmittelbranche.
Die Fachzeitschrift ORTHOPÄDIE TECHNIK ist die maßgebliche Publikation für das OT-Handwerk und ein wichtiger Kompass für die gesamte Hilfsmittelbranche.
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Digitalisierung<br />
Sicherheitsrisiko bei Microsoft-Exchange-Server<br />
Im Geschäftsumfeld gehört der Microsoft-Exchange-Server<br />
zu den beliebtesten Anwendungen, da damit die Verwaltung<br />
von E-Mail-Nachrichten, Kalendern, Kontakten und<br />
Aufgaben erledigt wird. Das Bundesamt für Sicherheit in<br />
der Informationstechnik (BSI) hat jetzt mindestens 17.000<br />
Instanzen von Microsoft-Exchange-Servern in Deutschland<br />
identifiziert, die durch eine oder mehrere kritische Schwachstellen<br />
verwundbar sind. Cyberkriminelle sowie Akteure im<br />
Dienst von Nationalstaaten nutzen diese Schwachstellen<br />
bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage<br />
oder für Ransomware-Angriffe aus. Betroffen sind<br />
insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen,<br />
Pflegedienste und andere medizinische Einrichtungen,<br />
Büros von Rechtsanwält:innen und Steuerberater:innen,<br />
Kommunalverwaltungen sowie viele mittelständische Unternehmen.<br />
BSI-Präsidentin Claudia Plattner ruft daher auf,<br />
dass sich Unternehmen ihrer Verantwortung bewusst werden<br />
und entsprechend reagieren: „Dass es in Deutschland<br />
von einer derart relevanten Software zigtausende angreifbare<br />
Installationen gibt, darf nicht passieren. Unternehmen,<br />
Organisationen und Behörden gefährden ohne Not ihre IT-<br />
Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen<br />
oder eigene und fremde Daten, die womöglich hochsensibel<br />
sind. Cybersicherheit muss endlich hoch oben auf die<br />
Agenda. Es besteht dringender Handlungsbedarf!“<br />
Rund 45.000 Microsoft-Exchange-Server in Deutschland<br />
sind derzeit ohne Beschränkungen aus dem Internet<br />
erreichbar. Nach aktuellen Erkenntnissen des BSI sind etwa<br />
zwölf Prozent davon so veraltet, dass für sie keine Sicherheitsupdates<br />
mehr angeboten werden. Rund 25 Prozent aller<br />
Server werden zwar mit aktuellen Versionen Exchange<br />
2016 und 2019 betrieben, verfügen aber über einen veralteten<br />
Patch-Stand. In beiden Fällen sind die Server für mehrere<br />
kritische Schwachstellen anfällig. Damit sind mindestens<br />
37 Prozent aller offen aus dem Internet erreichbaren<br />
Microsoft-Exchange-Server verwundbar.<br />
Bereits 2021 warnte das BSI mehrfach vor der aktiven<br />
Ausnutzung kritischer Schwachstellen in Microsoft Exchange<br />
und rief zeitweise die IT-Bedrohungslage „Rot“<br />
aus. Trotzdem hat sich die Lage seitdem<br />
nicht verbessert, da viele Betreiber von<br />
Exchange-Servern weiterhin sehr nachlässig<br />
handeln und zur Verfügung stehende<br />
Sicherheitsupdates nicht zeitnah einspielen.<br />
Aktuell bewertet das BSI die IT-Bedrohungslage<br />
als geschäftskritisch („Orange“).<br />
Eine massive Beeinträchtigung des Regelbetriebs<br />
ist zu erwarten. Das BSI empfiehlt,<br />
webbasierte Dienste des Exchange-Servers<br />
Foto: BSI<br />
wie Outlook Web Access grundsätzlich nicht offen aus<br />
dem Internet erreichbar zu machen, sondern den Zugriff<br />
auf vertrauenswürdige Quell-IP-Adressen zu beschränken<br />
oder über ein VPN abzusichern.<br />
Cybersicherheit – bin ich gefährdet?<br />
Wie hoch die eigene Bedrohungslage durch Cyberangriffe<br />
ist, können viele kleine und mittelständische Unternehmen<br />
gar nicht einschätzen. Deswegen hat das BSI in Zusammenarbeit<br />
mit dem Bundesverband mittelständische<br />
Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer<br />
DIN SPEC gegründet. Ergebnis ist die DIN SPEC 27076, die<br />
als Grundlage für den Cyberrisikocheck dient. Beim Cyberrisikocheck<br />
befragt ein IT-Dienstleister ein Unternehmen<br />
in einem ein- bis zweistündigen Interview zur IT-Sicherheit<br />
im Unternehmen. Darin werden 27 Anforderungen<br />
aus sechs Themenbereichen daraufhin überprüft, ob<br />
das Unternehmen sie erfüllt. Für die Antworten werden<br />
nach den Vorgaben der DIN SPEC Punkte vergeben. Als Ergebnis<br />
erhält das Unternehmen einen Bericht, der u. a. die<br />
Punktzahl und für jede nicht erfüllte Anforderung eine<br />
Handlungsempfehlung enthält. Die Empfehlungen sind<br />
nach Dringlichkeit gegliedert. Der Cyberrisikocheck ist allerdings<br />
keine IT-Sicherheitszertifizierung.<br />
Die Kosten entsprechen denen eines Beratertages. Auf<br />
Bundesebene werden der Check und sich daran anschließende<br />
Handlungsempfehlungen bereits jetzt über das<br />
Programm „go-digital“ mit 50 Prozent bezuschusst. Mehrere<br />
Bundesländer haben ebenfalls eine Förderbereitschaft<br />
signalisiert. Plattner erklärt: „Der Cyberrisikocheck<br />
ist ein echtes Win-win-win-Produkt: für die kleinen Unternehmen,<br />
für die IT-Dienstleister und für das BSI. Damit<br />
haben wir den Grundstein für ein KMU-Cybersicherheitslagebild<br />
gelegt, und das ist ein wichtiger Schritt auf<br />
dem Weg zur Cybernation Deutschland. Wir freuen uns,<br />
dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr<br />
Interesse an einer Durchführung des Cyberrisiko checks<br />
bekundet haben.“<br />
Premiere: Mehr als 60 IT-Dienstleister<br />
haben an der Schulung für die Durchführung<br />
des Cyberrisikochecks teilgenommen.<br />
ORTHOPÄDIE TECHNIK <strong>05</strong>/24<br />
61